WordPress4.7・4.7.1の脆弱性への攻撃が増大。各機関が注意喚起を行う事態に。


RestAPIへ認証なしにアクセスできしかも記事書き換えができてしまう脆弱性。
対象となるバージョンは4.7ならびに4.7.1

4.6以前のバージョンには今回の脆弱性は存在しないものの
その他の脆弱性が含まれるため4.7.2への更新が推奨される。

WordPress の REST API には、脆弱性が存在します。本脆弱性を悪用された
場合、リモートからの攻撃によって、WordPress のコンテンツが改ざんされる恐れがあります。

事象の検証記事

WordPress 4.7.1 の権限昇格脆弱性について検証した | 徳丸浩の日記

認証なしにリクエスト一発でコンテンツを改ざんできるため、影響は極めて深刻です。対象バージョンをお使いの方は、即刻アップデートすることをお勧めします。

 

各社注意喚起

【重要】WordPressの脆弱性についての注意喚起 | さくらインターネット

世界6万6000以上のサイトが改ざん被害、WordPressの脆弱性を悪用した攻撃を国内でも観測 -INTERNET Watch
WordPress の脆弱性に関する注意喚起
WordPress の脆弱性対策について:IPA 独立行政法人 情報処理推進機構
WordPressの脆弱性に関する注意喚起[みんなでしっかりサイバーセキュリティ]
4.7.0/4.7.1のみが今回の事象の対象となっており

自動アップデートが権限上の問題によりできていない環境などが主に対象となる。

 

WordPressの現在のバージョンを確認するには

wp-admin内の最下部に表示されている。


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

コメントは承認待ちです。表示されるまでしばらく時間がかかるかもしれません。